Как стать автором
Обновить

Комментарии 2

Технология хорошая, понятная и вроде даже как рабочая.

Не так давно сайт предприятия где я работал подвергся DDoS и защитить его подобным образом не вышло.

Два провайдера (Verizon и Comcast) поддерживают такую схему работы, но как выяснилось по факту ничего заблокировано не было. Более того, "свободное" оперирование маршрутами со стороны клиента (нас) могло заставить провайдера блочить вполне легитимные подсети, хосты в которых были участниками какого-то ботнета. Да и процедура добавления тысяч ip-адресов в route-map была не так проста (а без скриптинга так и вообще не выполнима).

Как итог компания подписала доп. соглашения к договорами на предоставление услуг, где защита от DDoS работала каким-то секретным способом, НО о том что атака началась\была в процессе приходилось каждый раз сообщать провайдеру отдельно на их клиентском портале через специальную форму. Схема работала, но мы так и не узнали - что там под капотом.

большая часть одминов, ни капли не парясь пастит из инета sysctl'ы, где через установку rp_filter они мечтают избавиться от спуфинга, (чтобы добиться большей секурности!) на оконечном хосте, с одним gateway'ем, а тут такие тонкости. Смело. )

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории